El caso de María

María es una joven agente de crédito en una cooperativa de ahorro y préstamo. Es una usuaria frecuente de sus redes sociales que van desde Facebook hasta Twitter pasando por Foursquare y Swarm. Escribe diariamente en su blog personal y actualiza constantemente con opiniones y puntos de vista personales sobre temas de actualidad y sobre su vida en sus redes sociales. Es lo que conocemos como una usuaria intensiva de internet, una persona que lleva una vida en línea bastante activa.

Recientemente María acaba de terminar con su novio Roberto, con el que tenía ya seis años y planes de matrimonio. Vive sus días entre tranquilos e intensos dependiendo de qué día sea, por ejemplo los días de fin de quincena y de mes son sus días más pesados en el trabajo. María trabaja con sistemas que manejan mucha información personal de clientes y personas tanto físicas como jurídicas para la evaluación de su situación financiera y brindar de esta manera la posibilidad o no de acceso a créditos con la cooperativa.

María detesta a la gente de sistemas, son unos tipos pesados que ni siquiera trabajan para la cooperativa, Outsource que llaman. Son un equipo de tipos que huelen raro y hablan de cosas raras. Un grupo de gente que solamente la llaman para tonterías y cosas sin importancia pero verdaderamente molestas como cambiar contraseñas y actualizar manualmente el equipo cuando la actualización automática de los sistemas falla, este tipo de actividades son particularmente molestas para María, y ahora con tantos problemas de su vida personal más la presión de sus días más atareados de trabajo no tiene nada de ganas de lidiar con estos tipos que además de pesados son incomprensibles.

Un buen día María recibe una llamada telefónica justamente antes de salir a comer. Con todo el dolor del mundo contesta el teléfono para evitar una reprimenda del gerente que siempre está presente estos días del mes. Es la gente de sistemas, como ella los llama. Le indican que ha habido un problema con el sistema en línea que utilizan para revisar la información financiera de los clientes, ese que dicen está conectado con la SUGEF. El muchacho se identifica como Josue Vega, y le indica que necesita su nombre de usuario y contraseña para reactivarla en la nueva versión del sitio o dejará de tener acceso al mismo dentro de 24 horas. Mañana será cierre de mes y estos días son muy complicados para María y con tanta cosa en la cabeza lo que menos quiere es un problema en el trabajo.

Rápidamente y para poderse ir a comer le pregunta al muchacho de sistemas si va a necesitar más de ella para poderse ir a almorzar, a lo que el compañero le contesta: no para nada solamente estos datos y desde aquí hacemos las gestiones que necesita. María sin pensárselo mucho le da los datos que le está pidiendo para poderse ir a comer tranquila. El muchacho de sistemas le indica que mañana mismo puede hacer el cambio de contraseña con la nueva que le estará llegando por correo electrónico y por seguridad dentro de un par de minutos.

María se va a comer tranquila sin saber que acaba de vulnerar la información de miles de personas que en ese momento están tranquilas en sus casas sin pensar tan siquiera en el peligro que esta allá afuera, donde cualquier persona por descuido pueden poner en riesgo información sensible sobre sus finanzas.

 María nunca recibe el correo electrónico con la nueva contraseña, se queda tranquila porque por suerte no necesitará una nueva para volverse a conectar al sistema y mientras tenga acceso al mismo puede estar tranquila.

María acaba de poner en peligro su trabajo, su información personal y la de todos los clientes que se encuentran en la base de datos del sistema. Todo sin darse cuenta, y ahora el atacante podrá tener acceso tanto como María mantenga la misma contraseña de la que no sospecha ni tan siquiera un poco.

Este es un ejemplo de un ataque de ingeniería social que solamente busca tener acceso a información. Y digo solo aunque este único elemento sea suficiente para arruinarle la vida a muchas personas por lo que al final del día puede ser el más importante de todos. Todos los nombres del caso son ficticios y cualquier similitud con la realidad es mera coincidencia, lo que no hace menos verdadero el riesgo de ser víctima de un ataque de ingeniería social por descuido en una larga cadena de eventos y malos manejos en la gestión de la vida en línea de las personas.

¿Qué es ingeniería social?

Es el conjunto de métodos y técnicas que se pueden aplicar a un ser humano para obtener información que permitan a uno o varios atacantes obtener acceso a la totalidad o parte de la información necesaria para vulnerar sistemas informáticos o físicos de acceso.

La ingeniería social en muchos casos es utilizada para obtener de manera directa el acceso a cuentas clave de sistemas de información, comunicación o cuentas de redes sociales que permitan acceder a otra información más pertinente. Esta hace uso de elementos psicológicos y emocionales de los individuos para sacar provecho de las situaciones personales, haciendo de cada ataque en sí mismo una operación personalizada y especializada. Requiere esfuerzos adicionales y habilidades de interacción social lo suficientemente buenas para conseguir la confianza de la víctima.

No es necesario carecer de conocimientos técnicos en informática o seguridad para poder ser víctima de ataques de ingeniería social, lo único que se necesita es el momento adecuado y la información correcta para romper nuestras defensas y caer en las garras de un habilidoso maestro del engaño.

La ingeniería social echa mano de las destrezas para crear confianza, de información relevante que se conozca de la persona para este cometido o de situaciones difíciles que esté pasando en ese momento para encontrar una ventana para ejecutar un ataque asertivo.

Kevin Mitnick es uno de los Hackers más conocidos del mundo y un habilidoso ingeniero social que ha escrito varios libros acerca del tema, convirtiéndose en una figura de relevancia en el mundo de la ciberseguridad. Para Mitnick la ingeniería social se basa en cuatro principios de la naturaleza humana:

1. A nadie le gusta decir que no.
2. A la mayoría de las personas les gusta ayudar.
3. A las personas les gusta que les alaben.
4. Crear confianza es el primer paso.

Para seguir estos cuatro principios es necesario haber realizado un reconocimiento de la víctima, haber determinado datos personales y puntuales para poder abordarle. No es posible acceder a la confianza sin haber desarrollado un sentimiento de empatía primero, y no es posible acceder a esa necesidad de decir si y ayudar cuando no se tiene confianza y no se ha establecido una conexión previa.

Cuando las personas en redes sociales hablan más de lo que deben acerca de sus vidas privadas o laborales ponen en riesgo sus actividades, a sus seres amados y a ellos mismos ya que debe asumirse que cualquier atacante puede estar escuchando en las sombras y esperando el momento adecuado para saltar como una araña hacia su presa.

Fases de la ingeniería social

Los ataques de ingeniería social o de capa 8 (según el modelo OSI) tienen una serie de etapas que deben recorrerse de manera efectiva para alcanzar un resultado exitoso. Existen como en todos los campos del conocimiento humano personas que tienen una capacidad innata para desarrollar actividades sin una estructura lógica u obviando pasos, lo que en muchas áreas del conocimiento se conoce como un natural, una persona que tiene facilidad. Pero para aquellos mortales que no tienen la capacidad de engañar de forma natural a otro ser humano o que la tienen pero aún no la descubren, existen fases bien definidas para aprender a realizar ataques de ingeniería social.

Se dice que el mayor de todos los talentos es el talento del esfuerzo y la dedicación, ya que sin importar cuanto talento se tenga si no existe disciplina y práctica al final la persona talentosa termina siendo superada por la persona dedicada. Es por esta razón que existe el estudio de las técnicas y métodos de las intrusiones informáticas como la ingeniería social.

Es importante conocer cómo se desarrolla etapa por etapa un ataque de esta clase para poder entenderlos a profundidad y reforzar nuestras defensas de la manera más oportuna. Si partimos del principio de que nunca se obtiene fortaleza si nunca se es atacado y que aquellos que sobreviven a ambientes enteramente hostiles son los más aptos para la supervivencia deberemos entonces inferir que para prevenir ataques de este o cualquier otro tipo debemos primero pasar una fase de atacarnos a nosotros mismos para comprender nuestras propias vulnerabilidades.

 “Si conoces a los demás y te conoces a ti mismo, ni en cien batallas correrás peligro; si no conoces a los demás, pero te conoces a ti mismo, perderás una batalla y ganarás otra; si no conoces a los demás ni te conoces a ti mismo, correrás peligro en cada batalla” Capítulo 3: El arte de la guerra Sun Tzu.

Ya que está claro porque es importante conocer las distintas etapas de un ataque de ingeniería social vamos sin más rodeos a analizarlas:

1. Reconocimiento
2. Contacto
3. Explotación
4. Intrusión

Estas fases pueden variar agregando pasos intermedios pero no variar su secuencia de orden lógico.

La etapa de reconocimiento es una recolección de información acerca del objetivo. Esta es una etapa que puede replicarse hasta en operaciones de seguridad nacional y militares. Es importante conocer al objetivo para realizar de forma correcta un ataque lo suficientemente personalizado para saber con exactitud donde golpear. Los ataques de ingeniería social son quirúrgicos y especializados.

Las personas revelan gigabytes de información personal, laboral y rutinaria por propia voluntad en redes sociales y la mayoría ni siquiera se preocupa por establecer las mínimas políticas de seguridad en las mismas para evitar ser vulnerados. Toda esta información permite a un eventual atacante satisfacer a cabalidad esta primera etapa del ataque.

El contacto con el objetivo se puede realizar mediante cualquier medio de comunicación, desde teléfono hasta correo electrónico, aunque también se han dado casos en los que se realiza un contacto en persona para establecer un grado superior de confianza con el objetivo, sin embargo en la mayoría de los casos este es el escenario más raro ya que los usuarios tienen la tendencia de reaccionar adecuadamente a los ataques impersonales.

Desde correos electrónicos de cadena hasta llamadas telefónicas inesperadas para acceder a nuestra información privada, nombres de usuario y contraseñas. Todos estos son posibles factores de riesgo que existen y están latentes para hacernos vulnerables a un ataque de ingeniería social.

La explotación es cuando entran en juego elementos psicológicos, físicos y del entorno. Es cuando el atacante hace gala de sus mejores capacidades en el arte del engaño para echar mano de toda esa información que ha recopilado en la primera fase. Crear la confianza con el objetivo es primordial así como lograr derrotar las defensas que pueda tener para manipular su comportamiento y hacer que quiera hasta una recompensa por vulnerar información sensible.

La intrusión se da una vez que el atacante obtiene datos de acceso provistos por el usuario que ha sido vulnerado. Es importante recordar que a partir de este punto se pueden dar una serie de caminos distintos que nos lleven hacia otros ataques informáticos distintos y sus correspondientes fases. Una vez que el atacante tiene acceso a los sistemas privados del objetivo puede hacer con estos lo que tenga en gusto pero el peor de los escenarios es cuando está ahí y ahí se queda sin ser percibido, como una sombra, como una pequeña anomalía casi imperceptible solo… esperando.

Ataques mixtos

El mundo cambia, las tecnologías cambian, los usuarios cambian. Es un ambiente de cambio constante y esto hace que los atacantes constantemente vayan desarrollando métodos más complejos, elaborados y precisos para vulnerar los sistemas de seguridad de las empresas y las personas. Así como los mercados y los atacantes evolucionan lo hacen también los usuarios que de una u otra manera se vuelven más maliciosos cada día, haciéndose victimas más difíciles para los típicos ataques de antaño.

Sin embargo, esto no hace que sea imposible ser vulnerado, todo lo contrario. Hace que sea aún más peligroso ese mundo difuso que es el internet. Cada vez se realizan más transacciones en línea y se expone más información personal a la red, lo que hace cada vez más difícil tener en consideración todas las estrategias que hay que tener para llevar a cabo una protección efectiva contra las amenazas virtuales que se van desarrollando conforme pasa el tiempo.

Los correos de “phising” ya no son raros y mal traducidos, ahora usan mascaras para que la dirección de correo electrónico se visualice como una conocida o de confianza, los sitios maliciosos utilizan protocolos de seguridad como “https“ y hasta se clonen sitios de confianza con diferencias mínimas en sus direcciones “URL” para hacerse transparentes a la buena fe del usuario.

Hoy en día los atacantes utilizan estrategias mixtas usando ingeniería social de la mano de otras técnicas de intrusión como el “phising” o el “spear phising” donde se usa información confidencial parcial del usuario para ganarse su confianza. Esto hace que la combinación de estrategias de vulneración haga de la vida de los usuarios una pesadilla virtual y de los desarrolladores de software un infierno abstracto donde se debe balancear la seguridad con la usabilidad.

Es necesario cambiar, volverse más estrictos, más informados y por sobre todo más interesados e involucrados en temas de ciberseguridad para sobrevivir a este entorno hostil que empeora según evoluciona la tecnología. Tanto como usuarios como aquellos que desarrollamos tecnologías de la información para hacer más intuitivo y seguro el manejo para los usuarios finales.

Defensa contra las artes oscuras

Debemos saber qué hacer para defendernos aun cuando los desarrolladores no alcancen a evolucionar las aplicaciones o servicios web a la velocidad que todos quisiéramos. Es por un lado necesario conocer cómo podemos ser atacados y cómo piensan los enemigos y por otro lado saber que debemos hacer.

Lo primero que debemos hacer es establecer políticas de seguridad, y me refiero a políticas estrictas de seguridad para nuestra vida digital y física como por ejemplo:

1. Controlar las políticas de privacidad de las cuentas de correo electrónico. Entender estas políticas y aplicarlas a cabalidad.
2. Entender conscientemente como funcionan las redes sociales y cuáles son sus políticas de privacidad y aplicarlas a cabalidad.
3. Desarrollar políticas de seguridad propias como por ejemplo: jamás se dan contraseñas por teléfono, correo electrónico ni personal. Simplemente no se dan. Las contraseñas son como la ropa interior sencillamente no se prestan, a nadie, nunca, bajo ninguna circunstancia. Lo mismo para el pin de la cuenta bancaría.
4. Preguntar el nombre del funcionario que llama para pedir datos, sea del servicio que sea, solicitar que se le vuelva a llamar luego de verificar la autenticidad del mismo, antes de brindar cualquier dato personal.
5. Utilizar un antivirus y escanear el equipo diariamente.
6. Actualizar el sistema operativo de nuestros dispositivos móviles o físicos cada vez que sea oportuno o posible.
7. Actualizar todo nuestro software cada vez que se libere una actualización, tanto de dispositivos móviles como de escritorio.
8. Instalar software solamente de fuentes de confianza, verificar estas fuentes antes de considerarla de confianza.
9. No usar piratería, si no le gusta pagar por Windows aprenda a usar Linux o adquiera un equipo que incluya una licencia OEM de Microsoft Windows. Pero jamás acceda a usar piratería.
10. Use su sentido común siempre, si le parece raro lo más probable es que sea raro hágale caso a su séptimo sentido.
11. Cambie sus contraseñas cada tanto y use contraseñas seguras, letras mayúsculas, minúsculas, caracteres especiales y números.
12. Use contraseñas diferentes para cada cuenta de correo o red social que tenga
13. Use software de protección anti robos en sus dispositivos móviles.
14. Acepte que usted es un blanco más, aprenda e ilústrese en el tema, es una necesidad inevitable así como usar cerradura para su automóvil y casa.
15. Cree sus propias políticas de seguridad constantemente y analice los riesgos que puede correr, haga aportes y participe en foros de seguridad informática. De esta manera aprenderá y enseñará a otros sobre sus experiencias personales.

Es importante aprender cómo defendernos ante las amenazas que existen. No se trata de dejar de usar la tecnología porque sea compleja o peligroso su uso por las amenazas que existan allá afuera. Se trata de volverse un blanco difícil, de dar la pelea.

Publiquese con nosotros

Conozca al autor
Jherom Chacón Vega Ing Ingeniero en sistemas y Docente. Analista de sistemas y desarrollador de software. Geek, maker y tecnólogo apasionado.

Sobre El Autor

Ingeniero en sistemas y Docente. Analista de sistemas y desarrollador de software. Geek, maker y tecnólogo apasionado.

Artículos Relacionados